Sviluppatori della piattaforma JavaScript lato server Node.js versioni correttive 13.8.0, 12.15.0 e 10.19.0, che risolvono tre vulnerabilità:
- CVE-2019-15606 – Gestione errata dei caratteri spazio opzionali (OWS) che seguono un valore nell'intestazione HTTP;
- CVE-2019-15605 - possibilità di effettuare un attacco HRS (HTTP Request Smuggling, incunearsi nel contenuto di altre richieste elaborate nello stesso thread tra frontend e backend) attraverso il trasferimento di un'intestazione HTTP Transfer-Encoding appositamente progettata;
- CVE-2019-15604 è un arresto anomalo del server TLS attivato da remoto tramite la trasmissione di una stringa errata in un certificato.
Inoltre, nelle nuove versioni, è stato svolto del lavoro per migliorare la sicurezza del parser HTTP e analizzare in modo più rigoroso gli elementi delle richieste HTTP. La modifica potrebbe causare problemi di compatibilità con le implementazioni HTTP che violano le specifiche. Per disabilitare la modalità di verifica rigorosa, vengono fornite l'impostazione insecureHTTPParser e l'opzione della riga di comando “—insecure-http-parser”.
Fonte: opennet.ru